Malgré les appels à la prudence et l’éducation supposée des internautes, le phishing, ce type d’arnaque en ligne qui consiste à se faire passer pour une entreprise connue des consommateurs pour les amener à divulguer des données à caractère personnel afin de les escroquer, continue à faire parler de lui.
En septembre, ce sont les clients de Yahoo, Barclays et pour la deuxième fois de Paypal qui ont été visés.
Utilisant toujours la même technique, les professionnels de la fraude en ligne « spoofent » un nom de domaine pour que leur spam paraisse réellement provenir de la société « spoofée », et créent un faux site temporaire aux couleurs de cette société, comportant un formulaire de renseignements à caractère sensible. Ces sites disparaissent la plupart du temps en quelques heures.
Le dernier scam Paypal en date invoque une procédure de routine de vérification des données personnelles. Il incite à cliquer sur une url commençant par » www.paypal.com « , et à rentrer les informations du compte-client. Le scam Yahoo cible les clients des services premium du portail. Il intime aux destinataires l’obligation de se connecter à un site web pour mettre à jour leurs données personnelles, sous peine de voir leur compte fermé pour de bon. Les informations demandées allaient bien sûr très loin : e-mail, mot de passe, nom et prénom, adresse postale, numéro de carte de crédit, date d’expiration et code personnel de retrait.
Depuis la première tentative d’arnaque des clients de Paypal en début d’année, eBay, la maison-mère de Paypal, affirme diffuser des messages de prévention sur son site toutes les trois ou quatre semaines. Mais selon Internetnews.com, la communication de eBay et de Paypal a manqué de réactivité lors de la dernière attaque. De plus, on pourrait imaginer que la multiplication des affaires de phishing encourage les sites à mettre en avant leurs politiques en matière de sécurité des données confidentielles, mais ce n’est pas vraiment le cas. Sur Paypal.com, les « tuyaux sécurité », concernant la transmission d’informations financières par e-mail, figurent dans la rubrique « Communauté », dans « Actualité ». Sur Yahoo, on trouve mention des règles de divulgation des mots de passe dans les FAQ Inscription.
Les clients de la banque britannique Barclays ont également fait l’objet d’une tentative de phishing début septembre, suivant un mode opératoire identique aux précédents. 400 internautes, clients ou non, ont contacté la banque conséquemment. Celle-ci a pris des mesures immédiates en limitant temporairement le montant des virements sur les comptes en ligne, et en débutant une enquête en collaboration avec la National Hi-Tech Crime Unit. Un communiqué de presse est également en ligne sur le site. Les enquêtes aboutissent parfois, puisque le 12 septembre a eu lieu à Washington le réquisitoire contre un jeune homme de 21 ans, accusé d’avoir « phishé » et escroqué des clients de MSN. Il risque une peine maximum de cinq ans de prison assortie d’une amende de 250.000 dollars.
[source – journaldunet.com]